本篇著重在VMware NSX內的邏輯交換器功能,分析其與現有實體環境的差異,並討論如何做設定,並展示如何簡易地產出一個邏輯交換器,最後則說明邏輯交換器底層的VXLAN封裝機制。
4. VXLAN已經於2014年8月成為IETF標準(RFC
7348)。
在此希望解釋一下VXLAN與VLAN最重要的差別。先想像一下傳統沒有VXLAN只有VLAN的vSphere虛擬環境下,如果有一個新的系統或是租戶要上線,需要四個邏輯網段,例如Web、AP、DB以及Backup。請問如果是各位要負責建立這些網路,必須要到哪裡去進行網路組態變更,讓用戶的系統能夠接起來運作?
首先,需要在vCenter內的Distribution Switch上加上四個Port Groups並設定對應VLAN,分別對應到這四個邏輯網段。
更重要的是,IT必須要去多台的底層實體Switch上,把這四個新的網段所對應的VLAN加進去,隨之而來需要變動的可能包括Trunk ACL、Routing Interface等等一大堆底層設定的變動。
但在VXLAN的環境內呢?請參考圖11這張圖,是一個非常標準的vSphere伺服器安裝時的網路設定方式。
一般會設定不同的VMKernel在vSphere伺服器上,如Management、vMotion、HA-VSAN、FT、Storage等等,圖11這張圖與傳統不同的,是還有一個VXLAN的VMKernel,這就是前述的VTEP介面。實體交換器上需要對應各個VMKernel去設定不同的VLAN,但這裡都是在安裝vSphere伺服器時的第一次工作。
重點是,當今天有新系統與新租戶要增加一大票不同的邏輯交換器…邏輯網段時,所有不同的邏輯交換器內網路封包,在實體網路上都是封裝到同一個VLAN,也就是由圖11的VXLAN VMKernel(VTEP)送出,底層網路裡全部是由同一個已經建置的VLAN(VLAN 88)傳送。
 |
| ▲圖11 vSphere伺服器網路設定方式。 |
因此,「無論在軟體 - 邏輯層做了多少的變動,底層硬體網路都無須再進行組態變更」,就只是提供一個高速傳輸的平台供VXLAN封包傳送而已,而這就是VXLAN與VLAN最大的差別。
VLAN雖然叫做「虛擬區域網路」,實際上還是一個與硬體設備綁定的網路機制,而藉由VXLAN或是類似的封裝協定,才能真正建立與硬體脫鉤,達到真正的「網路虛擬化」。
結語
在上面的文章內,與大家展示了如何非常簡易地產出一個邏輯交換器,並且說明邏輯交換器底層的VXLAN封裝機制。但相信大家心裡應該還是有個疑問:在邏輯交換器內,兩個VM互相溝通時,底層的vSphere Host必須要知道目的VM是位在哪一台Host上,然後透過VXLAN封裝把原始的Ethernet Frame送過去。重點來了:「Host如何知道目的地VM位於哪個Host上?」
先賣個關子,在下期文章內會進一步就NSX的邏輯交換器集中運作與控制機制進行說明。
<本文作者:饒康立,VMware資深技術顧問,主要負責VMware NSX產品線,持有VCIX-NV、VCAP-DTD、CCIE、CISSP等證照 ,目前致力於網路虛擬化、軟體定義網路暨分散式安全防護技術方案的介紹與推廣。>